英伟达报告严重安全漏洞

关键要点

英伟达在6月6日报告了三处高危漏洞以及两处中危漏洞，涉及其GPU Display Driver和vGPU软件。高危漏洞可能导致远程代码执行、拒绝服务攻击、特权提升、信息泄露和数据篡改等后果。这些漏洞的CVE编号为CVE20240090、CVE20240089、CVE20240091。值得关注的是，市场条件和广泛使用导致补丁的严重性增加，未来可能会发现更多驱动程序问题。

在发布了有关其GPU Display Driver和vGPU软件的多个严重漏洞后，英伟达的股票在市场上表现引人注目。根据一份发给客户的安全公告，GPU Display Driver的漏洞被利用可能导致以下情况的组合或全部：远程代码执行、拒绝服务攻击、特权提升、信息泄露和数据篡改。

漏洞概述

漏洞编号严重程度影响内容CVE20240090高远程代码执行和信息泄露CVE20240089高特权提升和数据篡改CVE20240091高拒绝服务CVE20240093中信息泄露CVE20240092中拒绝服务

在NVIDIA的Linux vGPU软件中，存在两个重要的高危漏洞。第一个漏洞是CVE20240099，它存在于虚拟GPU管理器中，允许客户操作系统对主机造成缓冲区溢出。英伟达表示，如果成功利用该漏洞，可能会导致信息泄露、数据篡改、特权提升和拒绝服务。

另一个高危漏洞CVE20240084允许客户操作系统执行特权操作。成功利用该漏洞也可能导致信息泄露、数据篡改、特权提升和拒绝服务。

市场影响与未来展望

Token主席Kevin Surace指出，尽管GPU和其他硬件驱动经常会进行补丁更新，但由于英伟达最近超越苹果成为美国第二大市值公司的消息，让英伟达的关注度大大提高。他表示：“基于市场条件和广泛使用，补丁的重要性显著增加，而不仅仅是针对图形的。”

Bugcrowd创始人兼首席战略官Casey Ellis指出，安全团队需认真考虑修补这些英伟达的漏洞。他特别提到，CVE20240090因其对攻击者的多样性而引发关注，其影响范围涵盖Windows和Linux，且英伟达GPU在总体攻击面中的普遍性也无可忽视。

蘑菇加速器哔咔

他表示：“我不会惊讶看到它在不久的将来被纳入攻击工具之中。生成型人工智能的兴起使得很多人关注并采用了英伟达，这种关注不可避免地吸引了安全研究者的关注，其中包括发现类似漏洞的研究者，以及为漏洞提供修复信息和优先级的恶意团体。”

整体来看，英伟达的安全漏洞引起了广泛关注，未来可能将催生更多的安全研究和补丁更新。